Diferencia entre revisiones de «Recuperación de un sitio hackeado»

De MoodleDocs
m (tidy up)
 
(No se muestran 13 ediciones intermedias de otro usuario)
Línea 1: Línea 1:
{{Seguridad}}
{{Seguridad}}
{{Moodle 2.x}}
{{Moodle 2.x}}
{{EnTraduccion}}
Vea [https://docs.moodle.org/24/en/Hacked_site_recovery https://docs.moodle.org/24/en/Hacked_site_recovery]


==Pasos iniciales==
==Pasos iniciales==


* Contacte a su provedor de alojamiento (''hosting''), si es que tiene alguno.
* Contacte a su provedor de alojamiento (''hosting''), si es que tiene alguno.
* Immediatamente ponga el sitio en ''Modo de Mantenimiento'' o, mejor aún, desconéctelo de internet completamente hasta que esté seguro de haerlo arreglado completamente. Usted necesita desconectar la conexión en la que su atacante tiene a su servidor.
* Immediatamente ponga el sitio en [[Modo de mantenimiento]] o, mejor aún, desconéctelo de internet completamente hasta que esté seguro de haberlo arreglado completamente. Usted necesita deshabilitar la conexión en la que su atacante tiene a su servidor.
** Usted puede configurar un cortafuegos (''firewall'') para bloquear conexiones al servidor desde todas las IPs y solamente permitir su dirección IP. Tenga cuidado al hacer esto, porque si su IP cambiara, Usted quedaría desconectado del servidor permanentemente. Para estos casos, es mejor permitir el rango de IPsen donde está su propia IP..
** Usted puede configurar un cortafuegos (''firewall'') para bloquear conexiones al servidor desde todas las IPs y solamente permitir su dirección IP. Tenga cuidado al hacer esto, porque si su IP cambiara, Usted quedaría desconectado del servidor permanentemente. Para estos casos, es mejor permitir el rango de IPs en donde está su propia IP.
** Si Usted mismo tiene su servidor y tiene acceso físico al servidor, una forma más simple es conseguir un ruteador (''router'') pequeño y enchufar allí al server. NO lo conecte al resto de la red ni al Internet. Ahora Usted tendrá libertad de accesar al servidor directamen o por medio de otra computadora enchufada al mismo ruteador.
** Si Usted mismo tiene su servidor y tiene acceso físico al servidor, una forma más simple es conseguir un ruteador (''router'') pequeño y enchufar allí al servidor. NO lo conecte al resto de la red ni al Internet. Ahora Usted tendrá libertad de acceder al servidor directamente o por medio de otra computadora enchufada al mismo ruteador.
* Busque todos los respaldos antiguos (copias de seguridad) de archivos y bases de datos disponibles.
* Busque todos los respaldos antiguos (copias de seguridad) de archivos y bases de datos disponibles.
* Respalde los archivos PHP, bases de datos y archivos de datos (Sin sobre-escribir los respaldos ntiguos).
* Respalde los archivos PHP, bases de datos y archivos de datos (Sin sobre-escribir los respaldos antiguos).
* Haga una lista de todo el software de PHP y programas/paquetes instalados en el mismo servidor.
* Haga una lista de todo el ''software'' de PHP y programas/paquetes instalados en el mismo servidor.
* Tome nota de cúal es su versión principal de Moodle y la feca de la última actualización y haga una lista de todos los módulos extra y modificaciones personalizadas que tuviera
* Tome nota de cúal es su versión principal de Moodle y la fecha de la última actualización, y haga una lista de todos los módulos extra y modificaciones personalizadas que tuviera.
* Revise las ramificaciones legales de una posible exposición de los datos personales de sus usuarios Es posible que por ley (según su país) tenga que notificar a los usuarios ypor lo menos decirles que deberán cambiar sus contraseñas en cualquier cuenta con cualquier otro servicio en la que usaran la misma contraseña que tenían en este sitio Moodle.
* Revise las ramificaciones legales de una posible exposición de los datos personales de sus usuarios Es posible que por ley (según su país) tenga que notificar a los usuarios y por lo menos, decirles que deberán cambiar sus contraseñas en cualquier cuenta con cualquier otro servicio en la que usaran la misma contraseña que tenían en este sitio Moodle.
* Finalmente, s no está familiarizado con la línea de comando, o con servidores en general, lo mejor s que se consiga a alguien que si lo esté para que le ayude. Usted es responsable de la información de sus usuarios que Usted almacena, por lo que debe de asegurars de que la recuperación se realice adecuadamente..
* Finalmente, si no está familiarizado con la línea de comando, o con servidores en general, lo mejor es que se consiga a alguien que si lo esté para que le ayude. Usted es responsable de la información de sus usuarios que Usted almacena, por lo que debe de asegurarse de que la recuperación se realice adecuadamente..




Remember, everything on the system should be considered untrusted until you know to what extent the hacker was able to intrude (Does he have root server permissions or just access to modify certain files?) Do some forensic research into how the person (or program) got in and what they did before just restoring a backup or running anti-virus software. For all you know, the backup could have been modified to contain a backdoor program that allows the attacker back in later. You want to close the vulnerability the attacker used so it doesn't happen again.
Recuerde, debe considerar TODO en el sistema como no-confiable hasta que Usted conozca hasta donde pudo introducirse el hacker (¿tiene permisos de root en el servidor o solamente acceso para modificar ciertos archivos?) Haga una investigación forense acerca de cómo fue que la persona (o el programa) pudo entrar y lo que hizo antes de restaurar un respaldo o correr algún programa anti-virus. Sin Usted saberlo, el respaldo pudo haber sido modificado para contener una puerta de acceso trasero que le permita al atacante regresar más tarde. Usted quiere cerrar la vulnerabilidad que usó el atacante para que no vuelva a suceder.


==Evaluación del daño==
==Evaluación del daño==


* Find out when exactly was the site hacked.
* Encuentre exactamente cuando fue hackeado el sitio.
** Check the modification dates on files. You're looking for any application files that were modified around the time of the initial intrusion. These files are suspect.
** Revise las fechas de modificación de los archivos. Usted estará buscando archivos de aplicaciones que fueron modificados alrededor de la fecha d la intrusión inicial. Estos archivos son sospechosos.
** Check your server logs for any suspicious activity around that date or few hours before, such as strange page parameters, failed login attempts, command history (especially as root), unknown user accounts, etc.
** Revise las bitácoras de su servidor buscando cualquier actividad sospechosa cerca de la fecha o unas horas antes, tales como parámetros de página extraños, intentos fallidos de ingreso, historia de comandos (instrucciones, especialmente como root), cuentas de usuarios desconocidos, etc.
** Be sure to take into account updates you've downloaded, as that will change the times for modified system files and/or Moodle.
** Asegúrese de considerar las actualizaciones que Usted hubiera descargado, ya que esto cambiará las fechas de los archivos del sistema modificados y/o de Moodle.
* Look for any modified or uploaded files on your web server - look for oldest file that does not belong in Moodle.
* Busque archivos subidos o modificados en su servidor web - busque los archivos más antiguos que no pertenezcan a Moodle.


==Recuperación==
==Recuperación==
* Restore last backup right before the incident.
* Restaure el último respaldo que tenga de fecha justo antes del incidente.
* [http://download.moodle.org/ Download the latest stable version] and [[Upgrade|upgrade]] your site.
* [http://download.moodle.org/ Descargue la última versión estable] y haga una  [[Actualización_de_moodle]] de su sitio.
* Change your passwords.
* Cambie sus contraseñas.
* Depending on the extent of the attack, a complete format and reinstall of the operating system might be in order.
* Dependiendo de la extensión del ataque, puede necesitar hacer un formateo completo del disco duro y reinstalar el Sistema Operativo.
* Be sure to implement any fixes you found during your investigation and double-check existing security on the server to see if it can't be improved.
* Asegúrese de implementar cualquier parche que haya encontrado durante su investigación y revise dos veces la seguridad existente en su servidor para ver si no puede mejorarse.
** This also means you should review any customizations/add-ons you made for Moodle. Are you sure you properly escaped all user inputs? What about the permissions on your web server directories and database?
** Esto también significa que Usted debería revisar cualquier complemento o personalización que le haya hecho a su sitio Moodle. ¿Está seguro de haber procesado adecuadamente todas las entradas de texto del usuario? ¿Y qué pasa con los permisos de los directorios del servidor web y de la base de datos?


==Control del SPAM==
==Control del SPAM==
* Spam in profiles or forum posts does not mean your site was actually hacked.
* La presencia de spam en perfiles o publicaciones en foros no necesariamente significa que su sitio fue realmente hackeado.
* Use the [[Spam cleaner]] tool (''Settings > Site administration > Reports > Spam cleaner'') regularly to find spam.
* Use la herramienta para [[Minimizar_el_spam_en_Moodle]] que se encuentra en (''Configuraciones > Administración del sitio > Reportes > Limpiador de spam'') regularmente, para encontrar y eliminar el spam.


==Prevención==
==Prevención==


* ''Always keep your site up-to-date and use the [http://download.moodle.org/ latest stable version].'' [[Git for Administrators|Git]] is an easy way to do this.
* '''Siempre tenga su sitio actualizado y use la [http://download.moodle.org/ versión estable más reciente].''' [[Git para Administradores]] indica cómo lograr esto fácilmente.
* Regularly run the [[Security overview]] report (''Settings > Site administration > Reports > Security overview'').
* Regularmente corra el [[Reporte_Vista_general_de_Seguridad]] que se encuentra en (''Configuraciones > Administración del sitio > Reportes > Vista general de seguridad'').
* Understand how to properly set permissions and file ownership to maximise security. If this is a mystery, you mustn't ignore it - read about it or ask in the forums!
* Entienda cómo configurar adecuadamente los permisos y la propiedad de archivos para maximiza la seguridad. Si esto es un misterio para Usted, no por ello debe ignorarlo -¡lea la documentación al respecto o pregunte en los foros!
* Make sure you have a properly configured firewall/packet filter on your server.
* Asegúrese de tener un cortafuegos/filtro de paquetes (''firewall/packet filter'') en su servidor.
* When making customizations to Moodle or other web applications on your server, be sure to review your code and make sure it doesn't add any new vulnerabilities.
* Cuando realice personalizaciones a Moodle o a otras aplicaciones web en su servidor, asegúrese de revisar su código y asegúrese de no añadir ninguna nueva vulnerabilidad.
* You might also consider running a anti-rootkit program such as rkhunter that will help you see if rootkits or other strange happenings are occurring on your server. RootkitRevealer is a comparable Windows program.
* Tal vez debería considerar correr un programa contra ''rootkit'', tal como rkhunter, que le ayudará a ver si están presentándose rootkits o algunas otras cosas raras en su servidor. RootkitRevealer es un programa comparable para Windows.
* SELinux or AppArmor are very good at mitigating several forms of attacks on the server itself. Windows has something similar called EMET.
* SELinux o AppArmor sonmuy buenos para mitifgar varias formas de ataques en el servidor mismo. Windows tiene algo similar llamado EMET.


== Vea también ==
== Vea también ==


* [[Security FAQ]]
* [https://docs.moodle.org/24/en/Security_FAQ Security FAQ]
* [[Reducing spam in Moodle]]
* [https://docs.moodle.org/24/en/Reducing_spam_in_Moodle Reducing spam in Moodle]


== Enlaces externos ==
== Enlaces externos ==

Revisión actual - 15:11 11 ago 2014

Moodle 2.x


Pasos iniciales

  • Contacte a su provedor de alojamiento (hosting), si es que tiene alguno.
  • Immediatamente ponga el sitio en Modo de mantenimiento o, mejor aún, desconéctelo de internet completamente hasta que esté seguro de haberlo arreglado completamente. Usted necesita deshabilitar la conexión en la que su atacante tiene a su servidor.
    • Usted puede configurar un cortafuegos (firewall) para bloquear conexiones al servidor desde todas las IPs y solamente permitir su dirección IP. Tenga cuidado al hacer esto, porque si su IP cambiara, Usted quedaría desconectado del servidor permanentemente. Para estos casos, es mejor permitir el rango de IPs en donde está su propia IP.
    • Si Usted mismo tiene su servidor y tiene acceso físico al servidor, una forma más simple es conseguir un ruteador (router) pequeño y enchufar allí al servidor. NO lo conecte al resto de la red ni al Internet. Ahora Usted tendrá libertad de acceder al servidor directamente o por medio de otra computadora enchufada al mismo ruteador.
  • Busque todos los respaldos antiguos (copias de seguridad) de archivos y bases de datos disponibles.
  • Respalde los archivos PHP, bases de datos y archivos de datos (Sin sobre-escribir los respaldos antiguos).
  • Haga una lista de todo el software de PHP y programas/paquetes instalados en el mismo servidor.
  • Tome nota de cúal es su versión principal de Moodle y la fecha de la última actualización, y haga una lista de todos los módulos extra y modificaciones personalizadas que tuviera.
  • Revise las ramificaciones legales de una posible exposición de los datos personales de sus usuarios Es posible que por ley (según su país) tenga que notificar a los usuarios y por lo menos, decirles que deberán cambiar sus contraseñas en cualquier cuenta con cualquier otro servicio en la que usaran la misma contraseña que tenían en este sitio Moodle.
  • Finalmente, si no está familiarizado con la línea de comando, o con servidores en general, lo mejor es que se consiga a alguien que si lo esté para que le ayude. Usted es responsable de la información de sus usuarios que Usted almacena, por lo que debe de asegurarse de que la recuperación se realice adecuadamente..


Recuerde, debe considerar TODO en el sistema como no-confiable hasta que Usted conozca hasta donde pudo introducirse el hacker (¿tiene permisos de root en el servidor o solamente acceso para modificar ciertos archivos?) Haga una investigación forense acerca de cómo fue que la persona (o el programa) pudo entrar y lo que hizo antes de restaurar un respaldo o correr algún programa anti-virus. Sin Usted saberlo, el respaldo pudo haber sido modificado para contener una puerta de acceso trasero que le permita al atacante regresar más tarde. Usted quiere cerrar la vulnerabilidad que usó el atacante para que no vuelva a suceder.

Evaluación del daño

  • Encuentre exactamente cuando fue hackeado el sitio.
    • Revise las fechas de modificación de los archivos. Usted estará buscando archivos de aplicaciones que fueron modificados alrededor de la fecha d la intrusión inicial. Estos archivos son sospechosos.
    • Revise las bitácoras de su servidor buscando cualquier actividad sospechosa cerca de la fecha o unas horas antes, tales como parámetros de página extraños, intentos fallidos de ingreso, historia de comandos (instrucciones, especialmente como root), cuentas de usuarios desconocidos, etc.
    • Asegúrese de considerar las actualizaciones que Usted hubiera descargado, ya que esto cambiará las fechas de los archivos del sistema modificados y/o de Moodle.
  • Busque archivos subidos o modificados en su servidor web - busque los archivos más antiguos que no pertenezcan a Moodle.

Recuperación

  • Restaure el último respaldo que tenga de fecha justo antes del incidente.
  • Descargue la última versión estable y haga una Actualización_de_moodle de su sitio.
  • Cambie sus contraseñas.
  • Dependiendo de la extensión del ataque, puede necesitar hacer un formateo completo del disco duro y reinstalar el Sistema Operativo.
  • Asegúrese de implementar cualquier parche que haya encontrado durante su investigación y revise dos veces la seguridad existente en su servidor para ver si no puede mejorarse.
    • Esto también significa que Usted debería revisar cualquier complemento o personalización que le haya hecho a su sitio Moodle. ¿Está seguro de haber procesado adecuadamente todas las entradas de texto del usuario? ¿Y qué pasa con los permisos de los directorios del servidor web y de la base de datos?

Control del SPAM

  • La presencia de spam en perfiles o publicaciones en foros no necesariamente significa que su sitio fue realmente hackeado.
  • Use la herramienta para Minimizar_el_spam_en_Moodle que se encuentra en (Configuraciones > Administración del sitio > Reportes > Limpiador de spam) regularmente, para encontrar y eliminar el spam.

Prevención

  • Siempre tenga su sitio actualizado y use la versión estable más reciente. Git para Administradores indica cómo lograr esto fácilmente.
  • Regularmente corra el Reporte_Vista_general_de_Seguridad que se encuentra en (Configuraciones > Administración del sitio > Reportes > Vista general de seguridad).
  • Entienda cómo configurar adecuadamente los permisos y la propiedad de archivos para maximiza la seguridad. Si esto es un misterio para Usted, no por ello debe ignorarlo -¡lea la documentación al respecto o pregunte en los foros!
  • Asegúrese de tener un cortafuegos/filtro de paquetes (firewall/packet filter) en su servidor.
  • Cuando realice personalizaciones a Moodle o a otras aplicaciones web en su servidor, asegúrese de revisar su código y asegúrese de no añadir ninguna nueva vulnerabilidad.
  • Tal vez debería considerar correr un programa contra rootkit, tal como rkhunter, que le ayudará a ver si están presentándose rootkits o algunas otras cosas raras en su servidor. RootkitRevealer es un programa comparable para Windows.
  • SELinux o AppArmor sonmuy buenos para mitifgar varias formas de ataques en el servidor mismo. Windows tiene algo similar llamado EMET.

Vea también

Enlaces externos

  • [1]: rkhunter official site
  • [2]: Windows Sysinternals site, where you will find RootkitRevealer among other useful programs.
  • [3]: SELinux wikipedia article. Check the References and See Also section.
  • [4]: A great article on Microsoft Technet detailing some very important security concepts. A good read no matter what OS you use.
  • [5]: Part 2 of the Microsoft Technet article above.
  • [6]: A thread from ServerFault which has yet more good information on recovery from an intrusion. Robert Moir's comment provide lots of good information.
  • [7]: An article on cert.org which details the steps one should take after a server compromise. It was written in 2000, so program specific information may be out-dated.

Discusiones en el foro "Using Moodle":